Kumpulan data berisi informasi pribadi 533 juta pengguna Facebook telah dibobol dan dijual bebas di forum peretas. Data yang bocor mencakup nomor telepon, alamat email, alamat rumah, tanggal pembuatan akun, dan status hubungan pengguna di lebih dari 106 negara.
Kebocoran data tersebut diyakini karena kerentanan pada 2020 yang telah dilaporkan sebelumnya oleh Motherboard. Pada saat itu, sistem Facebook dapat diretas menggunakan bot otomatis Telegram. Pengguna Reddit mengibaratkan, jika jumlah pengguna yang datanya bocor adalah negara, maka itu menjadi negara terpadat ketiga di dunia setelah Tiongkok dan India.
Viral di internet akhir pekan lalu, kebocoran datanya ditemukan dan dikonfirmasi oleh Alon Gal, CTO firma intelijen kejahatan siber Israel Hudson Rock. Business Insider menjadi yang pertama mengungkapkan berita ini.
Sejumlah petinggi Facebook buru-buru menyatakan lewat Twitter bahwa datanya bocor pada 2019. Mereka melupakan fakta nomor telepon dan alamat email tidak sering berubah.
Datanya kini dijual dengan harga miring pada forum peretasan tingkat rendah. Peneliti berujar walaupun sudah agak basi, datanya bisa dimanfaatkan untuk segala macam upaya rekayasa sosial dan peretasan baru.
“Sangat mengkhawatirkan melihat database sebesar itu dijual di komunitas kejahatan siber. Hal ini membahayakan privasi kita, dan [datanya] akan disalahgunakan untuk smishing dan jenis penipuan lain oleh oknum tak bertanggung jawab,” Gal memberi tahu Motherboard pada Januari.
Menurut Troy Hunt dari haveibeenpwned.com, kumpulan datanya terdiri dari 108 file yang dipecah berdasarkan negara dan diberi nama dalam bahasa Italia. Ada kira-kira 2.529.621 alamat email yang terdaftar di database situs Hunt di akhir pekan.
Meskipun Facebook mengatakan telah memperbaiki kerentanannya pada 2019, raksasa media sosial ini tidak memberi tahu para penggunanya bahwa data mereka beredar luas. Peneliti keamanan juga menemukan Facebook telah melakukan sesuatu untuk mendapatkan nomor telepon pengguna.
Pada 2019, Facebook sepakat membayar denda 5 miliar Dolar atau setara Rp72 triliun kepada Komisi Perdagangan Federal AS (FTC) karena ketahuan mengumpulkan nomor telepon pengguna dengan dalih akan digunakan secara eksklusif untuk keperluan otentikasi dua faktor. Pada kenyataannya, nomor itu akan digunakan untuk menargetkan iklan tambahan.
“Facebook melanggar Undang-Undang FTC karena terlibat dalam serangkaian praktik penipuan baru yang berkaitan dengan pengumpulan dan penyalahgunaan nomor telepon yang disediakan pengguna untuk mengaktifkan fitur keamanan seperti otentikasi dua faktor,” ujar FTC pada 2019.
Sementara Facebook secara permanen dilarang menggunakan nomor yang didapat dari otentikasi dua faktor untuk tujuan periklanan, perusahaan tertangkap basah melakukan hal serupa. Facebook mempromosikan VPN “aman” yang ternyata berfungsi mirip spyware. VPN tersebut dapat melacak aktivitas pengguna Facebook di dunia maya.
Facebook berjanji akan mengakhiri kasus kebocoran data di platform-nya menyusul skandal Cambridge Analytica, yang membocorkan data 80 juta pengguna Facebook. Data itu dimanfaatkan untuk iklan pemilu AS 2016. Pihak perusahaan tidak menanggapi permintaan Motherboard untuk berkomentar, tapi mereka menghabiskan waktu di Twitter untuk meyakinkan publik kasus terbaru bukanlah masalah besar.
Belum ada hukuman yang tepat untuk pelanggaran keamanan dan privasi yang lebih luas dan berulang karena UU privasi di Amerika Serikat juga belum jelas. Namun, peneliti privasi Gaurav Laroia mengatakan negara bisa dan harus menghukum platform yang melanggar.
“Facebook jelas-jelas tidak serius menjalani tanggung jawab melindungi keamanan data,” kata Laroia. “Butuh dua tahun bagi mereka untuk mengakui masalah kebocoran ini serius. Seluruh negara bagian dan DC memiliki undang-undang pemberitahuan pelanggaran dan insiden ini harus diselidiki oleh jaksa agung setiap negara bagian. Perusahaan itu harus ditegur dengan benar jika tidak memenuhi kewajiban hukumnya.”
